当社は、当社を退職した元社員が、このたび取引先ご担当者様の個人情報を含むデータを不正に持ち出していたことが判明いたしましたのでお知らせいたします。
なお、本日までに、持ち出されたデータの保存箇所を特定し、すべてのデータの削除・廃棄を行っております。また、現在まで、持ち出された個人情報が第三者に提供された事実および本件による二次被害の発生は確認されておりません。
関係者の皆様には、多大なるご迷惑およびご心配をおかけする事態となりましたことを、深くお詫び申し上げます。
当社では、今回の事態を厳粛に受け止め、二度とこのようなことを生じさせないよう、外部の専門家等の第三者の助言をもとに、今後より一層、従業員の意識向上、社内の情報管理体制の強化に努めるとともに、不正な情報の持出しや利用等に対し、厳正に対処してまいります。
本件の詳細は以下の通りです。
1. 本件の概要
2025年3月31日付けで退職した当社の元社員が、4月以降も当社のファイルサーバーに複数回に渡って不正アクセスし、個人所有のパソコンにデータをダウンロードしていたこと、また、退職日当日に、当該ファイルサーバー等に保管されていたデータを印刷して無断で社外に持ち出していたことが2025年4月25日に判明いたしました。
その後、ダウンロードデータおよび印刷データを特定し、内容を確認した結果、当該データの一部に、取引先ご担当者様の個人情報が含まれていることが、2025年5月3日に判明いたしました。
なお、本件が発覚した後、当社は、速やかに、個人情報保護委員会に本件を報告しております。
2. 流出した個人情報の内容と件数
流出した個人情報の総件数は1,331件であり、内容については以下のとおりです。
(1)社内管理資料に記載された個人情報
取引先ご担当者様の氏名(苗字のみを含む)、当該ご担当者の所属する会社名・部署名
件数:1,209名分
(2)見積書、注文書、工事体制表等に記載された個人情報
取引先ご担当者様の氏名(苗字のみを含む)、電話番号、住所、血液型、生年月日、工事関連資格情報、当該ご担当者の所属する会社名・部署名の全部又は一部
件数:122名分
なお、個人情報の流出を確認した取引先ご担当者様のうち、ご連絡先が判明した方には、2025年6月より、書状にてお詫びとご連絡を順次実施しております。
3. 本件発覚後の当社の対応
当該元社員が、在職時に保有していた管理者権限を利用し、退職した後も当社ファイルサーバーにアクセス可能な権限を不正に設定していたことが判明したため、当社は、本件発覚後、直ちに当該元社員による当社ファイルサーバーへのアクセス権限を解除いたしました。その後、当該元社員に対し、弁護士立会いの元で聞き取り調査を実施し、持ち出したデータの内容・範囲等を確認するとともに、所有していたパソコンを回収のうえ、外部機関によるデータフォレンジック調査等を実施しました。
これらの調査結果を踏まえ、持ち出されたデータの保存箇所を特定し、すべてのデータの削除を行いました。また、自宅等に保管されていた印刷物についてもすべて回収し、廃棄を行いました。
4. 二次被害の有無等
持ち出された個人情報は、全て削除が完了しております。また、当社によるこれまでの調査の結果、持ち出された個人情報が第三者に提供された事実および本件による二次被害の発生は確認されておりません。
5. 再発防止策
このたびの事態を厳粛に受け止め、情報管理に関する取り組みが十分でなかったことを反省し、今後は、当社従業員への教育を強化・徹底するとともに、不正な情報の持出しを防ぐための安全管理措置をより一層強化してまいります。
具体的には、従業員に対する定期的な情報セキュリティ教育の強化および教育コンテンツの拡大、退職予定者に対する情報管理遵守の通達強化・徹底、当社ファイルサーバーの管理者権限保有者の範囲限定、アクセス権限設定プロセスの見直しおよび厳格化、退職予定者による社外ユーザーの招待権限の制限などの措置を講じ、再発防止に努めてまいります。
あらためまして、本件につきまして、多大なるご迷惑とご心配をおかけしましたことを重ねてお詫び申し上げます。
